사상 초유의 대규모 신용카드 고객정보 대란이 있은 지 불과 50일 만에 의사 등 전문직 종사자를 포함한 개인정보 유출사고가 또 발생됐다. 대부분 개인정보보호 책임자를 형식적으로 지정하고 관리가 소홀했던 의료계 사이트가 대상이다. 사이트 관리도 외주업체에 맡긴 채 관심을 갖지 않았다.
2만명의 개인정보가 해킹으로 유출된 대한한의사협회는 개인정보보호 책임자를 총무이사로 지정해 놓고 있다. 개인정보보호 책임자 근무지도 협회 사무실이 아닌 별도의 개인 한의원이다. 개인정보 관리도 외부 업체에 위탁 운영하고 있다. 대한의사협회와 대한치과의사협회는 정보통신기술 담당자를 정보보호책임자로 지정했지만 실무 인력 부족으로 개인정보 유출을 막기에는 한계가 있다.
이외 해킹의 주대상이 된 불법 도박 사이트는 물론이고 대부분의 사이트들도 내부 총무 직원이나 대표를 개인정보호 책임자로 지정해 놓고 있다. 보안업계 관계자는 “개인정보보호법이 시행되면서 중소업체들은 웹사이트에 개인정보보호 책임자를 형식적으로만 명시했을 뿐”이라고 지적했다. 영세 사이트 업체는 상당수가 외부 위탁도 못한 채 관리에 손을 놓고 있는 실정이다.
개인정보 유출에 따른 2차 피해 우려도 높아지고 있다. 현재 유출된 개인정보는 제3자에게 이미 판매됐을 것이라는 추측이 제기됐다. 중국에 거주한 신원미상의 해킹 의뢰자가 검거되지 않았기 때문이다. 협회 회원으로 개인정보가 유출된 한 의료계 관계자는 “개인정보 유출로 어떤 2차 피해가 일어날지 걱정된다”고 토로했다.
정보유출 방법이 협회 등에 맞춤형으로 이뤄져 전문적이고 치밀한 계획에 의한 것으로 파악된다. 해커들은 ‘협회 소식’이란 내용으로 스미싱을 보내 협회의 고객정보를 빼냈다. 전문직임을 고려해 금융정보 탈취를 목표로 한 것으로 분석된다. 해킹사고가 발생하자 뒤늦게 의사협회는 개인정보 관리책임자를 지정하고 접근통제장치를 설치, 운영하기로 했다.
송형근 의사협회 대변인은 “정보유출로 발생할 수 있는 추가사고에 대해 물리적·관리적·기술적 정보통제를 더욱 강화해 회원 정보보호에 만전을 다하겠다”고 말했다.
신혜권기자 hkshin@etnews.com, 윤건일기자 benyun@etnews.com
